Não ouça o mal: ataques de ultrassom em assistentes de voz | WeLiveSecurity

Os leitores regulares do WeLiveSecurity não ficarão surpresos ao ler que os ataques cibernéticos e seus métodos continuam evoluindo à medida que os malfeitores continuam a aprimorar seu repertório. Também se tornou um refrão comum que, à medida que as vulnerabilidades de segurança são encontradas e corrigidas (infelizmente, às vezes depois de ser explorado), agentes mal-intencionados encontram novas brechas na blindagem do software.

Às vezes, porém, não é “apenas” uma (outra) brecha de segurança que chega às manchetes, mas uma nova forma de ataque. Este também foi o caso recentemente com um método de ataque pouco convencional chamado NUIT. As boas notícias? O NUIT foi descoberto por acadêmicos e não há relatos de ninguém explorando-o para brincadeiras ou crimes cibernéticos. Dito isto, não custa nada estar ciente de outra maneira pela qual sua privacidade e segurança podem estar em risco – bem como sobre o fato de que o NUIT pode realmente vir de duas formas.

Como o NUIT viu a luz do dia

NUIT, ou Trojan inaudível de quase ultrassom, é uma classe de ataque que pode ser implantada para iniciar controles remotos e silenciosos de dispositivos que usam ou são alimentados por assistentes de voz como Siri, Google Assistant, Cortana e Amazon Alexa. Como resultado, qualquer dispositivo que aceite comandos de voz – como seu telefone, tablet ou alto-falante inteligente – pode estar aberto. Em última análise, o ataque pode ter algumas consequências terríveis, que vão desde a violação de privacidade e perda de confiança até mesmo o comprometimento da infraestrutura de uma empresa, o que pode, por sua vez, resultar em pesadas perdas monetárias.

Descrito por uma equipe de pesquisadores na Universidade do Texas em San Antonio (UTSA) e na Universidade de Colorado Colorado Springs (UCCS), o NUIT é possível porque os microfones em assistentes digitais podem responder a ondas quase ultrassônicas reproduzidas de um alto-falante. Embora inaudível para você, esse comando de som solicitaria que o assistente de voz sempre ativo executasse uma ação - digamos, desligue um alarme ou abra a porta da frente protegida por uma trava inteligente.

Para ter certeza, o NUIT não é o primeiro ataque acústico a fazer sucesso ao longo dos anos. Anteriormente, ataques com nomes igualmente intrigantes foram descritos - pense SurfAtaque, Ataque de Golfinhos, Leitura labial e slicklogin, incluindo alguns outros ataques inaudíveis que também visavam assistentes domésticos inteligentes.

Boa noite

Conforme mencionado, o NUIT apresenta-se em duas modalidades: São elas:

• NOITE 1 – É quando o dispositivo é fonte e alvo de um ataque. Nesses casos, basta que o usuário reproduza um arquivo de áudio em seu telefone que faz com que o dispositivo execute uma ação, como enviar uma mensagem de texto com sua localização.



• NOITE 2 – Este ataque é lançado por um dispositivo com alto-falante para outro dispositivo com microfone, como do seu PC para um alto-falante inteligente.



Por exemplo, digamos que você esteja assistindo a um webinar no Teams ou no Zoom. Um usuário pode ativar o próprio som e reproduzir um som, que seria captado pelo seu telefone, levando-o a visitar um site perigoso e comprometendo o dispositivo com malware.

Como alternativa, você pode estar reproduzindo vídeos do YouTube em seu telefone com seus alto-falantes e o telefone executaria uma ação injustificada. Do ponto de vista do usuário, esse ataque não requer nenhuma interação específica, o que o torna ainda pior.

O NUIT deve mantê-lo acordado à noite?

O que é preciso para realizar tal ataque? Não muito, pois para o NUIT funcionar, o alto-falante de onde ele é lançado precisa estar acima de um determinado nível de volume, com o comando durando menos de um segundo (0.77s).

Além disso, obviamente você precisa ter seu assistente de voz ativado. Segundo os pesquisadores, dos 17 aparelhos testados, apenas Dispositivos habilitados para Apple Siri eram mais difíceis de quebrar. Isso porque um hacker precisaria roubar sua impressão digital de voz exclusiva primeiro para fazer o telefone aceitar comandos.

É por isso que todos devem configurar seus assistentes para trabalhar apenas com sua própria voz. Alternativamente, considere desligar seu assistente de voz quando não for necessário; na verdade, mantenha sua inteligência cibernética sobre você ao usar qualquer dispositivo IoT, como todos os tipos de aparelhos inteligentes podem ser presas fáceis para cibercriminosos.

As ordens do médico

Os investigadores, que também vão apresentar a sua investigação do NUIT na 32^nd Simpósio de Segurança USENIX, também recomendam que os usuários verifiquem seus dispositivos em busca de ativações aleatórias de microfone. Os dispositivos Android e iOS exibem a ativação do microfone, geralmente com um ponto verde no Android e com um ponto marrom no iOS na parte superior da tela. Nesse caso, considere revisar também as permissões do aplicativo para acesso ao microfone, pois nem todo aplicativo precisa ouvir o que está ao seu redor.

Da mesma forma, ouça o áudio usando fones de ouvido ou headsets, pois assim você terá menos chances de compartilhar o som com o ambiente ao seu redor, protegendo-se contra um ataque dessa natureza.

Este também é um bom momento para garantir que você tenha os fundamentos da segurança cibernética – mantenha todos os seus dispositivos e software atualizados, habilite a autenticação de dois fatores em todas as suas contas online e use software de segurança confiável em todos os seus dispositivos.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
• Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Fonte: https://www.welivesecurity.com/2023/06/07/hear-no-evil-ultrasound-attacks-voice-assistants/